Настройка файрвола на VPS: UFW и iptables

UFW (Uncomplicated Firewall) - удобная оболочка над iptables, идеальная для большинства задач. Установите его: apt install -y ufw. Перед включением обязательно разрешите SSH, иначе потеряете доступ: ufw allow 22/tcp (или ваш нестандартный порт). Затем разрешите нужные порты: ufw allow 80/tcp и ufw allow 443/tcp. Включите файрвол: ufw enable. Проверьте правила: ufw status verbose. По умолчанию UFW блокирует весь входящий и разрешает весь исходящий трафик.

Iptables предоставляет полный контроль над сетевым трафиком. Просмотрите текущие правила: iptables -L -n -v. Базовая политика по умолчанию - заблокировать всё входящее: iptables -P INPUT DROP. Разрешите уже установленные соединения: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT. Разрешите loopback: iptables -A INPUT -i lo -j ACCEPT. Добавьте нужные порты: iptables -A INPUT -p tcp --dport 22 -j ACCEPT. Сохраните правила: iptables-save > /etc/iptables/rules.v4.

Iptables позволяет ограничить скорость подключений для защиты от атак. Ограничьте число новых SSH-соединений: iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set. iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP. Это правило блокирует IP, совершивший более 4 попыток подключения за 60 секунд. Для защиты от SYN-флуда: iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT.

Правила iptables сбрасываются при перезагрузке, если не сохранить их. На Ubuntu/Debian используйте пакет iptables-persistent: apt install -y iptables-persistent. При установке система предложит сохранить текущие правила - согласитесь. В дальнейшем для сохранения правил вручную: netfilter-persistent save. UFW автоматически восстанавливает правила при перезагрузке. После внесения изменений всегда проверяйте доступ с другого терминала, прежде чем закрывать текущую сессию.